Threat Explorer und EchtzeiterkennungThreat Explorer and real-time detections

Wenn Ihre Organisation Office 365 Advanced Threat Protection (Office 365 ATP) verfügt und Sie über die erforderlichen Berechtigungenverfügen, haben Sie entweder Explorer -oder Echtzeiterkennung (früher Echtzeitberichte ), Siehe Neuigkeiten!).If your organization has Office 365 Advanced Threat Protection (Office 365 ATP), and you have the necessary permissions, you have either Explorer or real-time detections (formerly real-time reportssee what's new!). Wechseln Sie im Security #a0 Compliance Center zu Threat Management, und wählen Sie dann Explorer oder Real-Time Detectionsaus.In the Security & Compliance Center, go to Threat management, and then choose Explorer OR Real-time detections.

Mit ATP-Plan 2 sehen Sie Folgendes:With ATP Plan 2, you see: Mit ATP-Plan 1 sehen Sie Folgendes:With ATP Plan 1, you see:
Bedrohungs-Explorer Echt Zeit Erkennungen

Mit Explorer (oder Echtzeiterkennung) haben Sie einen leistungsfähigen Bericht, mit dem Ihr Sicherheits Betriebsteam Bedrohungen effektiv und effizient untersuchen und darauf reagieren kann, und es ähnelt dem folgenden Bild:With Explorer (or real-time detections), you have a powerful report that enables your Security Operations team to investigate and respond to threats effectively and efficiently, and it resembles the following image:

Wechseln Sie zu Threat > Management Explorer

Mit diesem Bericht haben Sie folgende Möglichkeiten:With this report, you can:

Neue Features in Echt Zeit ErkennungenNew features in real-time detections

Im folgenden werden drei neue Features in Threat Explorer erläutert.Three new features added into Threat Explorer are outlined below.

Zunächst sind die e-Mail-Kopfzeilen Vorschau und der Download des e-Mail-Texts neue Features, die in Threat Explorer zur Verfügung stehen.First, email header preview, and download of the email body are new features available in Threat Explorer. Administratoren können heruntergeladene Kopfzeilen/e-Mails nach Bedrohungen analysieren.Admins will be able to analyse downloaded headers/emails for threats. Da das Herunterladen von e-Mails die Gefährdung von Informationen gefährden kann, wird dieser Prozess durch rollenbasierte Zugriffssteuerung (Roles-Based Access Control, RBAC) gesteuert.Because downloading emails can risk the exposure of information, this process is controlled by roles-based access control (RBAC). Eine neue Rolle mit dem Namen "Vorschau" muss in einer anderen Office 365 Rollengruppe (beispielsweise in sec-Vorgänge oder in der SEC-Verwaltung) hinzugefügt werden, um die Möglichkeit zum Herunterladen von e-Mails und der Vorschau von Kopfzeilen in der Ansicht "all-Email" zu gewähren.A new role, called 'Preview' must be added into another Office 365 role group (for example into sec operations, or sec admin) to grant the ability to download mails and preview headers in all-emails view.

Aber Explorer (und Echtzeit-Erkennungen) fügt auch neue neue Felder entwickelt, um Ihnen ein vollständiges Bild, wo Ihre e-Mails landen.But Explorer (and real-time detections) also adds fresh new fields designed to give you a more complete picture of where your emails land. Ein Teil des Ziels dieser Änderung besteht darin, die Suche für Sicherheitsleute einfacher zu machen, aber das Ergebnis ist, dass der Speicherort der Problem-e-Mails auf einen Blick zu erkennen ist.Part of the goal of this change is to make hunting easier for Security Ops people, but the net result is knowing the location of problem emails at a glance.

Wie wird das gemacht?How is this done? Der Zustellungs Status wird nun in zwei Spalten aufgeteilt:Delivery Status is now broken out into two columns:

  • Zustellungs Aktion – wie lautet der Status dieser e-Mail?Delivery Action - What is the status of this email?
  • Zustellungs Speicherort – wohin wurde diese e-Mail weitergeleitet?Delivery Location - Where was this email routed as a result?

Zustellungs Aktion ist die Aktion, die aufgrund vorhandener Richtlinien oder Erkennungen auf eine e-Mail angewendet wird.Delivery Action is the action taken on an email due to existing policies or detections. Hier sind die möglichen Aktionen, die eine e-Mail ausführen kann:Here are the possible actions an email can take:

GeliefertDelivered AusrangiertenJunked GesperrtBlocked ErsetztReplaced
E-Mail wurde im Posteingang oder Ordner eines Benutzers zugestellt, und der Benutzer kann direkt darauf zugreifen.Email was delivered to Inbox or folder of a user and the user can directly access it. E-Mails wurden entweder an den Junk-Ordner des Benutzers oder den Ordner "gelöscht" gesendet, und der Benutzer hat Zugriff auf e-Mails in diesen Ordnern.Email was sent to either user’s Junk folder or Deleted folder, and the user has access to emails in those folders. Alle e-Mails, die unter Quarantäne gestellt wurden, die nicht erfolgreich waren oder gelöscht wurden.Any emails that are quarantined, that failed, or were dropped. Auf diesen Zugriff kann der Benutzer vollständig zugreifen!This is completely inaccessible by the user! Jede e-Mail-Nachricht, bei der böswillige Anlagen durch txt-Dateien ersetzt werden, die den Status der Anlage aufweisen, war bösartig.Any email where malicious attachments are replaced by .txt files that state the attachment was malicious.

Und hier ist, was der Benutzer sehen kann und was er nicht kann:And here is what the user can see, and what they can't:

Für Endbenutzer zugänglichAccessible to end users Für Endbenutzer unzugänglichInaccessible to end users
GeliefertDelivered GesperrtBlocked
AusrangiertenJunked ErsetztReplaced

Der Übermittlungsort zeigt die Ergebnisse von Richtlinien und Erkennungen an, die nach der Zustellung ausgeführt werden.Delivery location shows the results of policies and detections that run post-delivery. Sie ist mit einer Zustellungs Aktion verknüpft.It's linked to a Delivery Action. Dieses Feld wurde hinzugefügt, um Einblicke in die Aktion zu geben, die ausgeführt wird, wenn ein Problem mit e-Mails gefunden wird.This field was added to give insight into the action taken when a problem mail is found. Im folgenden sind die möglichen Werte für den Zustellungs Speicherort zu finden:Here are the possible values of delivery location:

  1. Posteingang oder Ordner – die e-Mail befindet sich im Posteingang oder in einem Ordner (entsprechend Ihren e-Mail-Regeln).Inbox or folder – The email is in inbox or a folder (according to your email rules).
  2. On-Prem oder External – das Postfach ist nicht in der Cloud vorhanden, sondern lokal.On-prem or external – The mailbox doesn’t exist on cloud but is on-premises.
  3. Junk-Ordner – die e-Mail im Ordner Junk eines Benutzers.Junk folder – The email in in the Junk folder of a user.
  4. Ordner "Gelöschte Elemente" – die e-Mail im Ordner "Gelöschte Elemente" eines Benutzers.Deleted items folder – The email in the Deleted items folder of a user.
  5. Quarantine – die e-Mail-Nachricht in Quarantäne und befindet sich nicht im Postfach eines Benutzers.Quarantine – The email in quarantine, and is not in a user’s mailbox.
  6. Fehler – die e-Mail konnte das Postfach nicht erreichen.Failed – The email failed to reach the mailbox.
  7. Fallen gelassen – die e-Mail wird irgendwo in der Nachrichtenübermittlung verloren.Dropped – The email gets lost somewhere in the Mailflow.

Die e-Mail-Zeitachse ist eine weitere neue Explorer-Funktion, mit der die Jagd Erfahrung für Administratoren verbessert werden soll.The Email Timeline is another new Explorer feature aimed at making the hunting experience better for admins. Es reduziert die Zufallsgenerierung, da die Überprüfung verschiedener Standorte kürzer ist, um zu versuchen, das Ereignis zu verstehen.It cuts down on randomization because there is less time spent checking different locations to try to understand the event. Wenn mehrere Ereignisse bei oder nahe gleichzeitig in einer e-Mail auftreten, werden diese Ereignisse in einer Zeitachsenansicht angezeigt.When multiple events happen at, or close to, the same time on an email, those events will show up in a timeline view. In der Tat werden einige Ereignisse, die nach der Zustellung an Ihre e-Mails geschehen, in der Spalte "spezielle Aktion" erfasst.In fact, some events that happen post-delivery to your mail will be captured in the 'Special action' column. Durch die Kombination der Informationen aus der Zeitachse dieser e-Mail mit der speziellen Aktion, die Sie für die e-Mail-Zustellung durchführen, erhalten Administratoren einen Einblick in die Funktionsweise Ihrer Richtlinien, wo die e-Mails schließlich weitergeleitet wurden, und in einigen Fällen was die abschließende Bewertung war.Combining the information from the timeline of that mail with the special action taken on the mail post-delivery will give admins insight into how their policies work, where the mail was finally routed, and, in some cases, what the final assessment was.

Weitere Informationen zur Untersuchung böswilliger e-Mails finden Sie unter Suchen und untersuchen von in Office 365zugestellten böswilligen e-Mails.For more discussion about investigating malicious emails see Find and investigate malicious email that was delivered in Office 365.

Siehe in e-Mail erkannte Malware nach TechnologieSee malware detected in email by technology

Angenommen, Sie möchten die in e-Mail-nach Office 365-Technologie erkannte Malware sehen.Suppose you want to see malware detected in email, by Office 365 technology. Verwenden Sie dazu die e-Mail-#a0 Ansicht "Malware" des Explorers (oder Echtzeiterkennung).To do this, use the Email > Malware view of Explorer (or real-time detections).

  1. Wählen Sie im Security #a0 Compliance Centerhttps://protection.office.com() Threat Management > Explorer (oder Echtzeiterkennung) aus.In the Security & Compliance Center (https://protection.office.com), choose Threat management > Explorer (or Real-time detections). (In diesem Beispiel wird der Explorer verwendet.)(This example uses Explorer.)

  2. Wählen Sie im Menü Ansicht die Option e-Mail- > Schadsoftwareaus.In the View menu, choose Email > Malware.
    Menü "Ansicht" für ExplorerView menu for Explorer

  3. Klicken Sie auf Absender, und wählen Sie dann Basis > Erkennungstechnologieaus.Click Sender, and then choose Basic > Detection technology.
    Ihre Erkennungstechnologien stehen nun als Filter für den Bericht zur Verfügung.Your detection technologies are now available as filters for the report.
    Technologien zur Erkennung von MalwareMalware detection technologies

  4. Wählen Sie eine Option aus, und klicken Sie dann auf die Schaltfläche Aktualisieren , um diesen Filter anzuwenden.Select an option, and then click the Refresh button to apply that filter.
    Ausgewählte ErkennungstechnologieSelected detection technology

Der Bericht wird aktualisiert, um die in e-Mail-Nachweise erkannten Ergebnisse mithilfe der ausgewählten Technologie-Option anzuzeigen.The report refreshes to show the results malware detected in email, using the technology option you selected. Von hier aus können Sie weitere Analysen durchführen.From here, you can conduct further analysis.

Anzeigen von Daten zu Phishing-URLs und klicken auf UrteilView data about phishing URLs and click verdict

Angenommen, Sie möchten Phishing-Versuche über URLs in e-Mails sehen, einschließlich einer Liste von URLs, die zugelassen, blockiert und außer Kraft gesetzt wurden.Suppose that you want to see phishing attempts through URLs in email, including a list of URLs that were allowed, blocked, and overridden. Zum Identifizieren von URLs, auf die geklickt wurde, müssen ATP-sichere Links konfiguriert werden.Identifying URLs that were clicked requires ATP Safe links to be configured. Stellen Sie sicher, dass Sie Richtlinien für ATP-sichere Links zum Zeitpunkt des Klick Schutzes und zur Protokollierung von Klick urteilen durch ATP-sichere Links eingerichtet haben.Make sure that you have set up ATP Safe Links policies for time-of-click protection and logging of click verdicts by ATP Safe Links.

Um Phishing-URLs in Nachrichten und Klicks auf URLs in Phishing-Nachrichten zu überprüfen, verwenden Sie die e-Mail-#a0 Phishing- Ansicht des Explorers (oder Echtzeiterkennung).To review phish URLs in messages and clicks on URLs in phish messages, use the Email > Phish view of Explorer (or real-time detections).

  1. Wählen Sie im Security #a0 Compliance Centerhttps://protection.office.com() Threat Management > Explorer (oder Echtzeiterkennung) aus.In the Security & Compliance Center (https://protection.office.com), choose Threat management > Explorer (or Real-time detections). (In diesem Beispiel wird der Explorer verwendet.)(This example uses Explorer.)

  2. Wählen Sie im Menü Ansicht die OptionPhishing per e-Mail > aus.In the View menu, choose Email > Phish.
    Menü "Ansicht" für ExplorerView menu for Explorer

  3. Klicken Sie auf Absender, und wählen Sie dann URLs > Klicken Sie auf Urteil.Click Sender, and then choose URLs > Click verdict.

  4. Wählen Sie eine oder mehrere Optionen aus, beispielsweise " blockiert " und "über schrieben", und klicken Sie dann auf die Schaltfläche Aktualisieren , die sich in derselben Reihe befindet wie die Optionen zum Anwenden des Filters.Select one or more options, such as Blocked and Block overridden, and then click the Refresh button that is on the same line as the options to apply that filter. (Aktualisieren Sie Ihr Browserfenster nicht.)(Don't refresh your browser window.)
    URLs und Klick UrteileURLs and click verdicts

    Der Bericht wird aktualisiert, um zwei unterschiedliche URL-Tabellen auf der Registerkarte URL unter dem Bericht anzuzeigen:The report refreshes to show two different URL tables on the URL tab under the report:

    • Top-URLs sind die URLs, die in den Nachrichten enthalten sind, nach denen Sie nach unten gefiltert haben, und die e-Mail-Zustellungs Aktion zählt für jede URL.Top URLs are the URLs contained in the messages you have filtered down to, and the email delivery action counts for each URL. In der Phishing-e-Mail-Ansicht enthält diese Liste normalerweise legitime URLs.In the phish email view, this list typically will contain legitimate URLs. Angreifer enthalten eine Mischung aus guten und ungültigen URLs in ihren Nachrichten, um Sie zu übermitteln, aber Sie machen die bösartigen Links für den Benutzer interessanter, auf Sie zuwerden.Attackers include a mix of good and bad URLs in their messages to try to get them delivered, but they will make the malicious links more interesting for the user to click. Die Tabelle der URLs wird nach der Gesamtzahl der e-Mails sortiert (Hinweis: Diese Spalte wird nicht angezeigt, um die Ansicht zu vereinfachen).The table of URLs is sorted by total email count (NOTE: This column is not shown to simplify the view).

    • Zu den wichtigsten Klicks gehören die eingebundenen URLs, auf die geklickt wurde, sortiert nach der Gesamtanzahl der Klick Zähler (diese Spalte wird auch nicht angezeigt, um die Ansicht zu vereinfachen).Top clicks are the Safe Links wrapped URLs that were clicked, sorted by total click count (this column is also not shown to simplify the view). Gesamtanzahl Zählungen nach Spalte geben Sie die sichere Links klicken Sie auf Urteils Zählung für jede URL, auf die geklickt wurde.Total counts by column indicate the Safe Links click verdict count for each clicked URL. In der Phishing-e-Mail-Ansicht sind dies häufiger verdächtige oder böswillige URLs, aber Sie können auch saubere URLs in Phishing-Nachrichten enthalten.In the phish email view, these are more often suspicious or malicious URLs, but could include clean URLs that are in phish messages. URL Klicks auf unverpackte Links werden hier nicht angezeigt.URL clicks on unwrapped links will not show up here.

    Die beiden URLs Tabellen zeigen Top-URLs in Phishing-e-Mails nach Zustellung Aktion und Ort, und Sie zeigen URL Klicks, die blockiert wurden (oder besucht, obwohl eine Warnung), damit Sie verstehen, welche potenziellen schlechten Links wurden von Benutzern empfangen und mit den Benutzern interagieren.The two URLs tables show top URLs in phishing emails by delivery action and location, and they show URL clicks that were blocked (or visited despite a warning) so that you can understand what potential bad links were received by users and interacted with by users. Von hier aus können Sie weitere Analysen durchführen.From here, you can conduct further analysis. Beispielsweise können Sie unter dem Diagramm die häufigsten URLs in e-Mails sehen, die in der Umgebung Ihrer Organisation blockiert wurden.For example, below the chart, you can see the top URLs in emails that were blocked in your organization's environment.

    Blockierte Explorer-URLs

    Wählen Sie eine URL aus, um ausführlichere Informationen anzuzeigen.Select a URL to view more detailed information. Beachten Sie, dass im Dialogfeld URL-Flyout die Filterung von e-Mails entfernt wird, um Ihnen die vollständige Ansicht der URL-Exposition in Ihrer Umgebung anzuzeigen.Note that in the URL flyout dialog, the filtering on emails is removed to show you the full view of the URL's exposure in your environment. Auf diese Weise können Sie e-Mails im Explorer nach bestimmten URLs filtern, die potenzielle Bedrohungen darstellen, und dann Ihr Verständnis der URL-Exposition in Ihrer Umgebung erweitern (über das Dialogfeld "URL-Details"), ohne dass Sie der URL-Filter hinzufügen müssen. Explorer-Ansicht selbst.This lets you filter down emails in Explorer to ones you are concerned about, find specific URLs that are potential threats, then expand your understanding of the URL exposure in your environment (via the URL details dialog) without having to add URL filters to the Explorer view itself.

Überprüfen von von Benutzern gemeldeten e-Mail-NachrichtenReview email messages reported by users

Angenommen, Sie möchten e-Mail-Nachrichten anzeigen, die Benutzer in Ihrer Organisation als Junk-, kein Junk-oder als Phishing gemeldet haben, indem Sie das Berichtsnachrichten-Add-in für Outlook und Outlook im Internetverwenden.Suppose that you want to see email messages that users in your organization have reported as Junk, Not Junk, or Phishing by using the Report Message add-in for Outlook and Outlook on the web. Verwenden Sie dazu die Ansicht e-Mail #a0 Übermittlungen des Explorers (oder Echtzeiterkennung).To do this, use the Email > Submissions view of Explorer (or real-time detections).

  1. Wählen Sie im Security #a0 Compliance Centerhttps://protection.office.com() Threat Management > Explorer (oder Echtzeiterkennung) aus.In the Security & Compliance Center (https://protection.office.com), choose Threat management > Explorer (or Real-time detections). (In diesem Beispiel wird der Explorer verwendet.)(This example uses Explorer.)

  2. Wählen Sie im Menü Ansicht die Option e-Mail- > übermittlungenaus.In the View menu, choose Email > Submissions.
    Menü "Ansicht" für ExplorerView menu for Explorer

  3. Klicken Sie auf Absender, und wählen Sie Standard > Berichtstypaus.Click Sender, and then choose Basic > Report type.

  4. Wählen Sie eine Option wie Phishingaus, und klicken Sie dann auf die Schaltfläche Aktualisieren .Select an option, such as Phish, and then click the Refresh button.
    Vom Benutzer gemeldetes PhishingUser-reported phish

Der Bericht wird aktualisiert, um Daten über e-Mail-Nachrichten anzuzeigen, die Personen in Ihrer Organisation als Phishing-Versuch gemeldet haben.The report refreshes to show data about email messages that people in your organization have reported as a phishing attempt. Sie können diese Informationen verwenden, um weitere Analysen durchzuführen und bei Bedarf Ihre ATP-Anti-Phishing-Richtlinienanzupassen.You can use this information to conduct further analysis, and if necessary, adjust your ATP anti-phishing policies.

Starten der automatischen Untersuchung und AntwortStart automated investigation and response

Hinweis

In Office 365 ATP-Plan 2 und Office 365 E5stehen automatisierte Ermittlungs-und Antwortfunktionen zur Verfügung.Automated investigation and response capabilities are available in Office 365 ATP Plan 2 and Office 365 E5.

(Neu!) Durch Automatische Untersuchung und Antwort können Sie Ihr Sicherheits Betriebsteam viel Zeit und Mühe bei der Untersuchung und Abwehr von Cyber-Angriffen speichern.(NEW!) Automated investigation and response can save your security operations team much time and effort in investigating and mitigating cyber attacks. Zusätzlich zum Konfigurieren von Warnungen, die ein Sicherheits Textbuch auslösen können, können Sie einen automatisierten Ermittlungs-und Antwortprozess aus einer Ansicht im Explorer starten.In addition to configuring alerts that can trigger a security playbook, you can start an automated investigation and response process from a view in Explorer.

Ausführliche Informationen hierzu finden Sie unter Beispiel: ein Sicherheitsadministrator löst eine Untersuchung im Explorer aus.For details on this, see Example: A security administrator triggers an investigation from Explorer.

Weitere Möglichkeiten zum Verwenden von Explorer (oder Echtzeiterkennung)More ways to use Explorer (or real-time detections)

Zusätzlich zu den in diesem Artikel beschriebenen Szenarien stehen Ihnen viele weitere Berichtsoptionen mit Explorer (oder Echtzeiterkennung) zur Verfügung.In addition to the scenarios outlined in this article, you have many more reporting options available with Explorer (or real-time detections).

Erforderliche Lizenzen und BerechtigungenRequired licenses and permissions

Sie benötigen Office 365 ATP , um den Explorer oder Echt Zeit Erkennungen zu erhalten.You must have Office 365 ATP to get Explorer or real-time detections.

  • Der Explorer ist in Office 365 ATP-Plan 2 enthalten.Explorer is included in Office 365 ATP Plan 2.
  • Der Bericht über Echt Zeit Erkennungen ist in Office 365 ATP-Plan 1 enthalten.The real-time detections report is included in Office 365 ATP Plan 1.
  • Planen Sie die Zuweisung von Lizenzen für alle Benutzer, die durch ATP geschützt werden sollen.Plan to assign licenses for all users who should be protected by ATP. (Bei Explorer-oder Echt Zeit Erkennungen werden Erkennungsdaten für lizenzierte Benutzer angezeigt.)(Explorer or real-time detections will show detection data for licensed users.)

Zum Anzeigen und Verwenden von Explorer-oder Echt Zeit Erkennungen müssen Sie über die entsprechenden Berechtigungen verfügen, beispielsweise solche, die einem Sicherheitsadministrator oder Sicherheits Leser erteilt werden.To view and use Explorer or real-time detections, you must have appropriate permissions, such as those granted to a security administrator or security reader.

  • Für das Security & Compliance Center müssen Sie eine der folgenden Rollen zugewiesen haben:For the Security & Compliance Center, you must have one of the following roles assigned:

    • OrganisationsverwaltungOrganization Management
    • Sicherheits Administrator (Dies kann im Azure Active Directory Admin Center zugewiesen werden (https://aad.portal.azure.com))Security Administrator (this can be assigned in the Azure Active Directory admin center (https://aad.portal.azure.com))
    • Sicherheits LeserSecurity Reader
  • Für Exchange Online müssen Sie eine der folgenden Rollen entweder in der Exchange-Verwaltungskonsole (https://outlook.office365.com/ecp) oder mit PowerShell-Cmdlets zugewiesen haben (siehe Exchange Online PowerShell):For Exchange Online, you must have one of the following roles assigned in either the Exchange admin center (https://outlook.office365.com/ecp) or with PowerShell cmdlets (See Exchange Online PowerShell):

    • OrganisationsverwaltungOrganization Management
    • Organisationsverwaltung mit LeserechtenView-only Organization Management
    • Rolle „Empfänger mit Leserechten“View-Only Recipients role
    • Verwaltung der RichtlinientreueCompliance Management

Weitere Informationen zu Rollen und Berechtigungen finden Sie in den folgenden Ressourcen:To learn more about roles and permissions, see the following resources:

Einige Unterschiede zwischen dem Bedrohungs Exporteur und Echt Zeit ErkennungenSome differences between Threat Exporter and real-time detections

  • Der Bericht über Echt Zeit Erkennungen steht in Office 365 ATP-Plan 1 zur Verfügung, während Threat Explorer in Office 365 ATP-Plan 2 zur Verfügung steht.The real-time detections report is available in Office 365 ATP Plan 1, whereas Threat Explorer is available in Office 365 ATP Plan 2.
  • Der Bericht über Echt Zeit Erkennungen ermöglicht das Anzeigen von Erkennungen in Echtzeit.The real-time detections report allows you to view detections in real-time. Dieser Vorgang wird auch von Threat Explorer durchgesetzt, aber Sie können auch zusätzliche Details für einen bestimmten Angriff anzeigen.Threat Explorer does this as well, but also allows you to view additional details for a given attack.